Xuất hiện biến thể mới của Gameover ZeuS

[Ginny Hà]

Các chuyên gia an ninh mạng vừa phát hiện một dòng malware mới dựa chủ yếu vào Gameover ZeuS, lây nhiễm trên máy tính của người dùng và kết nối các máy này vào mạng botnet khổng lồ. Botnet này đặc biệt được thiết kế để lấy cắp mật khẩu ngân hàng trên các máy Windows.

Biến thể mới xuất hiện chỉ 6 tuần sau khi chính quyền Mỹ thông báo đã đánh sập botnet Gameover ZeuS trên phạm vi toàn cầu hồi đầu tháng 6/2014. Các công tố viên nước này cho biết, những kẻ đứng sau Gameover ZeuS đã lấy cắp hơn 100 triệu đô la Mỹ.

Cũng hoạt động lén lút như malware tiền nhiệm của nó, biến thể mới của Gameover ZeuS sử dụng thuật toán sinh tên miền (Domain Generation Algorithm - DGA). Các máy tính nhiễm mã độc sẽ cố gắng kết nối tới các tên miền vô nghĩa, trong đó có cfs50p1je5ljdfs3p7n17odtuw.biz, các chuyên gia cho biết.

Các bản lưu Whois (giao thức truy vấn và phản hồi) cho thấy tên miền này được đăng ký tại Trung Quốc vào ngày thứ năm (10/07/2014).

Biến thể mới của Gameover ZeuS có danh sách DGA mới của riêng mình. Thêm vào đó, thay vì mô hình peer-to-peer được sử dụng bởi các biến thể trước đó, malware này lợi dụng kỹ thuật “fast flux” để che giấu máy chủ điều khiển bằng cách luân phiên thay đổi nơi đặt máy chủ.

Trong tuyên bố vào ngày thứ Sáu, Bộ Tư pháp Mỹ khẳng định dòng malware mới này không được kết nối với mạng botnet Gameover ZeuS đã bị đánh sập trước đó.

Bộ Tư pháp nước này cũng cho biết, toàn bộ hoặc gần như toàn bộ các máy tính nhiễm Gameover Zeus đã được giải phóng khỏi sự kiểm soát của tội phạm mạng. Hiện tại, các máy này đang kết nối riêng với server thay thế được lập theo lệnh của tòa án. Lưu lượng dữ liệu truy cập từ server thay thế cho thấy nỗ lực khắc phục hậu quả của các nhà cung cấp dịch vụ Internet và nạn nhân trong vụ việc đã làm giảm số lượng máy tính bị nhiễm gameover Zeus 31% kể từ thời điểm mạng botnet bị đánh sập.

Nguồn: Arstechnica​